openwrt 下配置IPSec

openwrt下配置ipsec,基于luci-app-ipsec-vpnd 注意不是luci-app-ipsec-server 后者有一些奇奇怪怪问题。

默认设置发现 外网无法拨上来。随后发现内网也无法拨上来。

配置文件

1
nano /etc/ipsec.conf

找到

1
# strictcrlpolicy=yes

取消注释,然后重启ipsec 就好了。

1
/etc/init.d/ipsec restart

启动脚本

如果重启后 这个上面的文件自动恢复,那就是有其它脚本处理过这个文件。经过检查 发现 是 /etc/init.d/ipsec 这个脚本,。找到 start_service() 这段 的config setup

修改下面的内容

1
2
3
4
5
config setup
    # strictcrlpolicy=yes
    # edit this form /etc/init.d/ipsec
    strictcrlpolicy=yes
    uniqueids=never

其他无法访问内网 等其他问题 没发现。都正常。

防火墙处理

另外 网络-防火墙-转发 将拒绝改为接受 , 检查 通讯规则里面 应该有自动添加的 500 和4500 两个端口

如果是二级路由器 还需要在主路由做端口转发,这个不用多说了。

另外防火墙规则,我vpn网段是 10.10.10.2/24 添加如下内容(非必须)

1
2
3
tables -t nat -I POSTROUTING -s 10.10.10.0/24 -j MASQUERADE 
tables -I FORWARD -i vpn -s 10.10.10.0/24 -j ACCEPT 
ptables -I INPUT -i vpn -s 10.10.10.0/24 -j ACCEPT

如果想让vpn客户端也可以 科学上网,需要在对应的科学软件里面配置。 比如:ssrp的话,默认配置的情况下,只从访问控制 接口控制里面 选中两个vpn接口即可

启动ipsec vpn

系统,启动项,找到 ipsec 重启 或者启动

Licensed under CC BY-NC-SA 4.0
comments powered by Disqus
Built with Hugo
主题 StackJimmy 设计